Google社内の脆弱性追跡システムにおける一連の問題により、セキュリティ研究者がGoogleの重要かつ危険な脆弱性の情報にアクセスできる状態になっていたという。
Googleが社内で利用している脆弱性などの報告システム「Issue Tracker」(Google社内では「Buganizer」と呼ばれている)は、セキュリティ研究者やバグ発見者が、Googleのソフトウェアやサービス、製品で見つかった問題やセキュリティ上の脆弱性情報を提出できるシステムだ。
普通のユーザーがバグ追跡システムにアクセスすることは少ない。だがセキュリティ研究者のAlex Birsan氏は、Googleの社内メールアドレスをスプーフィングし、システムのバックエンドと多数のバグレポートにアクセスできることを発見した。バグレポートの中には、最も深刻度が高く危険な脆弱性である「優先順位ゼロ」と分類されているものもあった。ハッカーに悪用された場合、計り知れない被害が及びかねない。
この脆弱性を発見したBirsan氏は米ZDNetに対し、「攻撃者が提出された脆弱性を見つけて悪用し、Googleのアカウントを狙って危険にさらすことも可能だったはずだ」と述べた。
Birsan氏は自身のブログで、作成したGmailアカウントが、メールで認証する前に、任意の電子メールアドレス(Googleの企業アカウントを含む)に変更できるようになっていたと報告している。Birsan氏が作成した偽のGoogleアカウントで、同社のネットワークに直接アクセスすることはできない。だが、Issue TrackerにBirsan氏がGoogle社員だと認識させることは可能であり、同氏の権限を昇格させてバグレポートの参照や、問題についての通知やアップデートを受け取ることが可能になっていたという。また、各レポートに対するログインユーザーのアクセス権を適切に認証していないことによる問題についても指摘している。
Birsan氏がバグを報告した後、1時間で同氏のアクセスは無効化され、脆弱性は修正された。非常に多数のアカウントを危険にさらす大規模な攻撃が実現する可能性は低いという。
Birsan氏が発見した3つのバグについて、Googleはバグ発見を奨励するプログラムの下で1万5600ドルを支払っている。また、Issue Trackerの脆弱性について継続して調べることに対し、3133ドルの報奨金も付与された。Googleの担当者は、「Alex(Birsan氏)のバグ報告に感謝している。彼が報告した脆弱性については、関連する変種も含め、すでにパッチを当ててている」とコメントしている。
提供:file photo
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
